Kogo i w jakim zakresie będzie kontrolował PUODO w 2023 roku?

W ogłoszonym niedawno planie kontroli sektorowych Prezes Urzędu Ochrony Danych Osobowych ogłosił, że w 2023 roku sprawdzi m.in.:

„Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.”

Nie trzeba chyba nikogo przekonywać, że każda aplikacja przetwarza dane pozwalające na zidentyfikowanie osoby fizycznej, choćby były to tylko podstawowe dane użytkownika. Każdy producent oprogramowania i każdy podmiot korzystający z niego na własny rachunek powinien zatem mieć na względzie zgodność zastosowanych rozwiązań z RODO, choć zakres i kontekst przetwarzania mogą się bardzo różnić.

Choć w komunikacie dosłownie mowa jest o „podmiotach przetwarzających”, to jednak wydaje się, że na baczności muszą mieć się zarówno administratorzy, jak i ci, którym dane powierzono. Dobrze też mieć na uwadze, że choć ogłoszony plan kontroli sektorowych skupia się na kwestiach zabezpieczenia i udostępniania danych, to jednak pozostałe wymogi przepisów o ochronie danych osobowych również należy spełniać. Dotyczy to takich obowiązków jak choćby prowadzenie dokumentacji, obowiązek informacyjny czy zawierania umów powierzenia przetwarzania danych.

Tworzenie aplikacji webowych i mobilnych – co na ten temat znajdziemy w RODO?

Rozporządzenie Ogólne z założenia ma być aktem neutralnym technologicznie, aby przejść próbę czasu w zmieniającym się środowisku nowych technologii. Nie dziwi więc, że zarówno twórców aplikacji mobilnych, jak i aplikacji webowych obowiązują te same, ogólnie sformułowane zasady:

art. 25 ust. 1 RODO: Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

Nawet jeśli dany program komputerowy ma być wykorzystywany przed inny podmiot, który będzie administratorem, z pewnością będzie on zainteresowany jedynie produktem spełniającym powyższe wymogi. Niezależnie więc od tego, czy aplikację pisze się dla siebie czy dla klienta zewnętrznego, warto zwrócić uwagę na to, by była ona zgodna z RODO.

Aplikacje webowe i mobilne – różnice w świetle prawa ochrony danych osobowych

Nie ulega wątpliwości, że telefon komórkowy jest zdecydowanie bardziej osobistym narzędziem niż komputer. Komórka wyposażona w sensory, czujniki, mająca zainstalowane aplikacje bankowe, e-commercowe, przechowuje niezliczoną ilość danych, skuteczna ochrona których jest w interesie użytkownika. Aparat z funkcją rozpoznawania twarzy, czytnik linii papilarnych, lokalizator GPS, aplikacja z dostępem do historii zakupów online, zdjęcia właściciela telefonu i jego najbliższych, aplikacja do randkowania to tylko niektóre źródła danych o szczególnej wadze dla potencjalnych naruszycieli. Do tego urządzenie może być sparowane z innymi – jak np. ze smartwatchem monitorującym tętno. Dodatkowo u wielu osób telefon komórkowy spełnia także funkcje przenośnego komputera, z którego przeglądają strony internetowe (budując historię przeglądania) czy logują się do aplikacji webowych.

Jeśli zatem aplikacja żąda dostępu do innych zasobów urządzenia, takich jak aparat, mikrofon, kalendarz, lista kontaktów etc. to nie pozostaje to bez wpływu na bezpieczeństwo danych osobowych właściciela urządzenia. Powinny istnieć solidne podstawy do uzyskania takiego dostępu i powinny one być jasne dla użytkownika. Zgodnie z zasadą transparentności powinien on móc jednoznacznie powiązać daną zgodę na dostęp z określoną funkcją aplikacji. W praktyce zdarza się, że aplikacje żądają dostępu w zakresie poszerzonym, jeśli dopiero planują wprowadzenie nowych funkcji. Taka praktyka jest jednak nieprawidłowa z uwagi na obowiązywanie zasady minimalizacji danych. Zakres, w jakim aplikacja mobilna będzie współpracować z innymi elementami software’u i uzyskiwać dostęp do informacji przechowywanych w urządzeniu musi odpowiadać jej przeznaczeniu i funkcjom, jakie faktycznie może spełniać.

Na marginesie można wspomnieć o problemie aplikacji, których podstawowe funkcje i przeznaczenie mogą być realizowane tylko w przypadku wyrażenia zgody na dostęp do określonych zasobów. Za dobrą praktykę branżową uważa się takie pisanie aplikacji, aby nawet mimo niewyrażenia zgody niosła ona ze sobą jakąś wartość dla użytkownika, choćby nawet minimalną w porównaniu z pełnym spectrum jej działania.

Przykład:

Aplikacja śledząca ruch użytkownika podczas biegu i rejestrująca przebytą w danym czasie trasę potrzebuje dostępu do położenia urządzenia. Niemniej, pomimo niewyrażenia na to zgody można przeglądać historię poprzednich biegów lub czytać porady dotyczące techniki biegu czy zdrowej diety zawarte w aplikacji.

W aplikacjach webowych natomiast – częściej niż w mobilnych, choć ten stan rzeczy może ulec zmianie – szczególnym zagadnieniem związanym z bezpieczeństwem danych jest korzystanie z zewnętrznych dostawców tożsamości. Coraz bardziej popularna (zresztą także w aplikacjach mobilnych) funkcja Identity-as-a-service (IDaaS) pozwala na korzystanie z tożsamości użytkownika uwierzytelnionej przez inny podmiot, najczęściej medium społecznościowe. W ten sposób użytkownik zamiast zakładać konto i wymyślać hasło za każdym razem, gdy zainstaluje nową apkę lub zacznie korzystać z programu udostępnionego jako Saas, zyskuje wygodę logowania się tylko na jedno konto i pamiętania tylko jednego hasła. W świetle przepisów o ochronie danych osobowych dochodzi do przetwarzania danych przez oba te podmioty w różnym zakresie – zarówno przez administratora aplikacji, jak i przez zewnętrznego dostawcę tożsamości. Zgodnie z zasadą transparentności i rozliczalności takie przetwarzanie musi zostać odpowiednio uwzględnione w komunikatach kierowanych do osób, których dane dotyczą i w wewnętrznej dokumentacji administratora czy podmiotu przetwarzającego.

Jak zaprojektować aplikację zgodną z RODO?

O bezpieczeństwie informacji w systemach informatycznych mówi m.in. ISO 27001. Jest to standard Systemu Zarządzania Bezpieczeństwem Informacji, na którą składają się normy ogólne i bardziej szczegółowe. Normy ISO z grupy 27000 są stosowane i rozpoznawalne globalnie, nie tylko w krajach, gdzie obowiązuje RODO.

Czy aplikacje dla zachowania zgodności z RODO muszą spełniać normy ISO 27001? Niekoniecznie, choć zawsze warto rozważyć ich wdrożenie, zwłaszcza że często pojawia się ona w wymaganiach klientów zamawiających napisanie programu.

Niezależnie od tego, jaką decyzję podejmą w tym zakresie, producenci oprogramowania powinni kierować się tym, co zostało zawarte w przepisach Rozporządzenia, w tym we wspomnianym art. 25 RODO. Jak wynika z przytoczonego wyżej przepisu pierwszym i podstawowym obowiązkiem twórców aplikacji jest znajomość aktualnego stanu wiedzy technicznej, w tym zagrożeń i możliwości przeciwdziałania im. Dotyczy to zwłaszcza deweloperów korzystających z zewnętrznych platform, takich jak chmura obliczeniowa. Usługi typu Platform-as-a-Service, w skrócie PaaS, są szeroko dostępne i wiążą się z możliwością wykorzystania coraz to nowych narzędzi i usług dodatkowych. Tę ofertę należy uwzględnić, planując zastosowanie danego rozwiązania technologicznego. Nie będąc na bieżąco, twórca naraża się na wprowadzenie do aplikacji rozwiązań przestarzałych czy skompromitowanych, a przez to niebezpiecznych.

Jeśli natomiast chodzi o koszt wdrożenia, to warto pamiętać, że nie chodzi o przyrównanie go do możliwości finansowych twórcy czy przyszłego dochodu z aplikacji. Koszt powinien odpowiadać kolejnemu elementowi analizy, na który składają się: „charakter, zakres, kontekst i cele przetwarzania”.

Aby jednak prawidłowo opisać cztery powyższe aspekty konieczne jest przede wszystkim ustalenie, gdzie w ramach aplikacji dane osobowe się pojawiają. Prawidłowe zidentyfikowanie informacji chronionych na mocy RODO to klucz do zastosowania ww. przepisu. O ile przy pewnych rodzajach danych nie ulega wątpliwości, że mamy do czynienia z danymi osobowymi (np. PESEL, imię i nazwisko), o tyle inne mogą zmuszać do namysłu, zwłaszcza jeśli użytkownicy znajdą kreatywne sposoby korzystania z aplikacji i dane pojawią się tam, gdzie nie przewidywał ich projekt (np. w aplikacji do obróbki zdjęć twarzy pojawią się zdjęcia dokumentu tożsamości). Istotne jest także, jaki jest przepływ danych w ramach aplikacji, gdzie są one przechowywane i kiedy usuwane. RODO widzi ogromną różnicę pomiędzy pseudonimizacją a anonimizacją danych osobowych – tych dwóch zabiegów nie można więc pomylić. Dzięki zlokalizowaniu, gdzie w logice działania aplikacji pojawiają się informacje danego rodzaju można określić charakter, zakres, kontekst i cele przetwarzania.

Dopiero dysponując wynikami takiej analizy, twórcy aplikacji mogą przejść do oceny ryzyka związanego z przetwarzaniem i pod nie dobierać sposoby zabezpieczenia.

Jeśli w ramach tworzenia oprogramowania software house współpracuje z klientem na podstawie metodyk zwinnych, takich jak scrum, ważne jest, aby podstawowe założenia związane w ochroną danych nie zostały pominięte w kolejnych sprintach lub z powodu zmian w projekcie. Warto więc ustalić, gdzie są punkty newralgiczne i nawet, jeśli zmieni się plan działania, mieć w pamięci konieczność zachowania czujności w tym zakresie. Zgodność programu z RODO powinna być także pokryta testami.

O tym natomiast, czemu warto unikać tzw. dark patterns w UI i UX, zwłaszcza przy projektowaniu elementów wpływających na zarządzanie przez użytkownika jego danymi osobowymi, można przeczytać tutaj: https://www.zzlegal.pl/aktualnosci/ciemne-wzorce.html.

Jeśli zastosujemy się do wszystkich powyższych wskazówek na etapie tworzenia aplikacji, wypełniona zostanie jedna z głównych zasad RODO – privacy by design, po polsku jako: uwzględnianie prywatności w fazie projektowania. Prawidłowo zaprojektowana aplikacja spełnia także mocno związany z tym wymóg domyślnej ochrony prywatności – privacy by default. Zgodnie z nim aplikacja już fabrycznie ustawiona jest tak, że przetwarzanie następuje jedynie wobec danych niezbędnych dla celu przetwarzania i nie dłużej, niż jest to konieczne.

Uwzględniwszy wszystkie powyższe elementy projektowania aplikacji zgodnej z RODO przy jednoczesnym udokumentowaniu procesu w myśl zasady rozliczalności, można stworzyć dzieło gotowe na poprawne przetwarzanie danych osobowych, które przejdzie pomyślnie kontrolę PUODO. Nie oznacza to jednak, że producent oprogramowania może spocząć na laurach.

Ochrona danych osobowych a cykl życia aplikacji

Wypuszczenie aplikacji na rynek czy wdrożenie jej na produkcji nie jest ostatnim momentem, w którym trzeba pamiętać o ochronie danych osobowych. Także w fazie utrzymania zasada privacy by design i by default mogą odegrać dużą rolę. Nie tylko radykalne zmiany, takie jak uzupełnienie aplikacji o nowe funkcje, ale nawet aktualizacje wynikające z przyczyn technicznych mogą namieszać w modułach, w których dane są przetwarzane i np. dodać nową kategorię danych czy wpłynąć na zmianę oceny ryzyka przetwarzania. Z drugiej strony, niektóre aktualizacje mogą być wymuszone właśnie przez konieczność zachowania adekwatnego stopnia zabezpieczenia – RODO wprost wymaga, aby środki ochrony poddawać w razie potrzeby przeglądom i uaktualniać je.

Jest to szczególnie ważne w przypadku administratorów zamawiających oprogramowanie z firm zewnętrznych. Bez dobrej umowy z wykonawcą, uwzględniającej potrzebę ciągłego zachowania zgodności aplikacji z RODO, może to okazać się niewykonalne, a przynajmniej nie w rozsądnym czasie. W ramach takiej umowy trzeba też mieć na uwadze możliwość przetwarzania przez osoby działające w imieniu producenta oprogramowania lub innego podmiotu, który podjął się prac utrzymaniowych, danych osobowych użytkowników, a co za tym idzie – rozważyć zawarcie umowy powierzenia przetwarzania z art. 28 RODO.

Jakie aplikacje przejdą pomyślnie kontrolę PUODO?

Aby pomyślnie przejść kontrolę Prezesa Urzędu ochrony Danych Osobowych trzeba przetwarzać dane w aplikacji, która dobrze zabezpiecza dane osobowe i której użytkownicy mogą zaufać w tym zakresie. Na „dobre” zabezpieczenie składa się wiele aspektów, o których była mowa wyżej, więc bez ich znajomości i świadomości ich znaczenia w praktyce trudno stworzyć aplikację zgodną z RODO, stąd wsparcie specjalisty przynosi ogromną wartość dla całego projektu. Pomoc zewnętrznego konsultanta to dobry wybór także dla zamawiających – przeprowadzenie audytu wymagań zawartych w zamówieniu pozwala na ich weryfikację i ewentualne uzupełnienie tak, aby po wdrożeniu aplikacja webowa czy mobilna mogła pomyślnie przejść kontrolę Urzędu. Wykrycie nieprawidłowości może zostać przez PUODO upublicznione i bardzo negatywnie odbić się na renomie wadliwej aplikacji, ale także jej producenta i innych wypuszczonych przez niego produktów.